北信源法院系统终端安全管理系统解决方案XXXX9245.docx

《北信源法院系统终端安全管理系统解决方案XXXX9245.docx》由会员分享，可在线阅读，更多相关《北信源法院系统终端安全管理系统解决方案XXXX9245.docx（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 内网安全管理系统设计方案Evaluation Warning: The document was created with Spire.Doc for .NET.北信源法法院系统统终端安安全管理理系统解决方案案北京北信信源软件件股份有有限公司司 20115年3月目 录1. 前前言31.1. 概述述31.2. 应对对策略442. 终终端安全全防护理理念52.1. 安全全理念552.2. 安全全体系663. 终终端安全全管理解解决方案案73.1. 终端端安全管管理建设设目标773.2. 终端端安全管管理方案案设计原原则73.3. 终端端安全管管理方案案设计思思路83.4. 终端端安全管管理解决决

2、方案实实现1003.4.1. 网络接接入管理理设计实实现1003.4.1.11. 网网络接入入管理概概述1003.4.1.22. 网网络接入入管理方方案及思思路1003.4.2. 补丁及及软件自自动分发发管理设设计实现现153.4.2.11. 补补丁及软软件自动动分发管管理概述述153.4.2.22. 补补丁及软软件自动动分发管管理方案案及思路路153.4.3. 移动存存储介质质管理设设计实现现193.4.3.11. 移移动存储储介质管管理概述述193.4.3.22. 移移动存储储介质管管理方案案及思路路203.4.4. 桌面终终端管理理设计实实现2333.4.4.11. 桌桌面终端端管理概概

3、述2333.4.4.22. 桌桌面终端端管理方方案及思思路2443.4.5. 终端安安全审计计设计实实现3663.4.5.11. 终终端安全全审计概概述3663.4.5.22. 终终端安全全审计方方案及思思路3664. 方方案总结结421. 前言1.1. 概述随着法院院信息化化的飞速速发展，业业务和应应用逐渐渐完全依依赖于计计算机网网络和计计算机终终端。为为进一步步提高法法院信息息系统内内部的安安全管理理与技术术控制水水平，必必须建立立一套完完整的终终端安全全管理体体系，提提高终端端的安全全管理水水平。由于法院院信息系系统内部部缺乏必必要管理理手段，导导致网络络管理人人员对终终端管理理的难度度

4、很大，难难以发现现有问题题的电脑脑，从而而计算机机感染病病毒，计计算机被被安装木木马，部部分员工工使用非非法软件件，非法法连接互互联网等等情况时时有发生生，无法法对这些些电脑进进行定位位，这些些问题一一旦发生生，往往往故障排排查的时时间非常常长。如如果同时时有多台台计算机机感染网网络病毒毒或者进进行非法法操作，容容易导致致网络拥拥塞，甚甚至业务务无法正正常开展展。建立终端端安全管管理体系系的意义义在于：解决大大批量的的计算机机安全管管理问题题。具体体来说，这这些问题题包括： 实现对法法院信息息系统内内部所有有的终端端计算机机信息进进行汇总总，包括括基本信信息、审审计信息息、报警警信息等等，批量

5、量管理终终端计算算机并提提高安全全性、降低日日常维护护工作量量； 实现对法法院信息息系统内内部所有有的终端端计算机机的准入入控制，防防止外来来电脑或或违规的电电脑接入入法院信息息系统内内部网络络中； 实现对法法院信息息系统内内部所有有的终端端计算机机进行补补丁的自自动下载载、安装装与汇总总，最大大程度减减少病毒毒、木马马攻击存存在漏洞洞的计算算机而导导致的安安全风险险； 实现对法法院信息息系统内内部所有有的移动动存储设设备的统统一管理理，防止止部分人人员通过过USBB设备将将法院信息息系统大大量的机机密文件件传播出出去，同同时也极极大减少少了病毒毒、木马马通过UUSB设设备在网网络中传传播等情

6、情况的发发生； 实现对法法院信息息系统内内部所有有的终端端计算机机进行终终端安全全管理与与分析，包包括第一一时间禁禁止非法法外联行行为的发发生，实实时监控控异常流流量，检检测非法法软件，禁禁用部分分硬件设设备等，将将计算机机与人结结合起来来管理，防防止非法法操作导导致发生生不必要要的安全全事件。1.2. 应对策略略从网络空空间应用用接入方方式来来来说，网网络空间间应用从从传统的的互联网网应用接接入发展展到以移移动/无无线通信信应用接接入乃至至移动互互联网接接入等多多种方式式。而针对网网络空间间安全方方面的问问题，北北信源公公司基于于多年的的产品开开发与超超大规模模成功部部署与应应用经验验基础，

7、组组建了面面向网络络空间的的终端安安全管理理产品体体系。该该产品体系系主要面面向重要要网络、信信息系统统及基础础设施的的失泄密密检测与与防范，实实现从终终端、区区域网到到互联网网的一体体化检测测、管理理与防范范。该体体系从终终端接入入控制、终终端行为为管控制制、终端端数据防防泄密，以以及终端端安全审审计等方方面，实实现了多层次次、全方方位、立立体化纵纵深失窃窃密检测测与防范范，形成成了面向向复杂网网络空间间的终端端安全管管理一体体化解决决方案，有有效地实实现了网网络空间间下对终终端计算算机的安安全管理理体系。2. 终端安全全防护理理念2.1. 安全理念念针对目前前法院信息息系统网网络中终终端计

8、算算机面临临的各种种安全问问题，作作为终端端安全管管理市场场的领导导者，北北信源公公司特推推出了面面向网络络空间的的VRVV SppecSSEC终终端安全全管理体体系。VRV SpeecSEEC终端端安全管管理体系系以APPPDRR模型为为依据，遵遵循国家家和行业业等级保保护，基基于安全全工程的的思想，以以独特的的终端安安全配置置策略为为核心，以以终端安安全风险险测试与与评估为为依据，实实现组件件化可动动态组合合配置的的终端安安全管理理。其核核心理念念如下图图所示：VRV SpeecSEEC终端端安全管管理体系系核心理理念l 安全产品品法规符符合性开开发（SSpeccifiicattionn-

9、baasedd Prroduuctss Deevellopmmentt）l 策略引导导的终端端安全配配置（PPoliicy-bassed Connfigguree Maanaggemeent）l 评估驱动动的终端端安全管管理（EEvalluattionn-drriveen SSecuuritty MManaagemmentt）l 组件化终终端安全全管理体体系（CCompponeent-bassed Pluug-iin/oout Seccuriity Arcchittectturee ）2.2. 安全体系系北信源VVRV SpeecSEEC体系系覆盖终终端的资产安安全管理理、终端端数据安安全管理

10、理、终端端行为安安全管理理、终端端服务安安全管理理等多个个方面，涉涉及管理理计算机机本身、计计算机应应用、计计算机操操作者、计计算机使使用、法院信息息系统管管理规范范等多个个方面，形形成全方方位、多多层次、立立体化终终端安全全管理。本解决方方案正是是基于上上述核心心理念和和安全体体系的基基础上而而组建的的基于终终端各方方面安全全管理和和控制的的一体化化解决方方案。3. 终端安全全管理解解决方案案3.1. 终端安全全管理建建设目标标(1) 当终端端接入时时要落实实安全保保护技术术措施，保保障内部部网络的的运行安安全和信信息安全全； (2) 对已接入内部部网络的的终端计计算机，要要做好用用户权限限

11、设定工工作，不不能开放放 其规规定以外外的操作作权限。 (3) 发现有有违规情形的的，应当当保留有有关原始始记录，并并可直接接了解到到该违规规信息及及违规方方式等。(4) 网络管管理人员员能够利利用该管管理方式式，便捷捷的管理理内网终终端计算算机，并并能够利利用该种种方式对对终端计计算机现现状一目目了然。3.2. 终端安全全管理方方案设计计原则方案设计计遵循如如下原则则：(1) 安全性原原则：对对性能影影响小，与与其它业业务系统统无冲突突。(2) 可靠性原原则：在在反复操操作与长长期实践践之后依依然能够够保持高高度的稳稳定性。(3) 可扩展性性原则：能够符符合ITT发展方方向，并并随业务务增长

12、的的同时保保持高度度的可扩扩充性。(4) 易用性原原则：提提供简单单、友好好界面，能能够进行行直观的的操作，形形成丰富富的图形形界面与与报表。(5) 兼容性原原则：能能够与主主流厂商商的系统统、软件件、主机机设备、安安全设备备、网络络设备保保持高度度的兼容容性。3.3. 终端安全全管理方方案设计计思路1、遵循循IT服服务标准准随着信息息技术的的发展以以及对信信息技术术依赖程程度的提提高，IIT已成成为许多多业务流流程必不不可少的的部分，甚甚至是某某些业务务流程赖赖以运作作的基础础。ITT部门要要承担更更大的责责任，即即提高业业务运作作效率，降降低业务务流程的的运作成成本，遵遵循ITTIL标标准

13、，协协调ITT服务部部门内部部运作，改改善ITT部门与与业务部部门之间间的沟通通，帮助助法院信息息系统对对信息化化系统的的规划、研研发、实实施和运运营进行行有效管管理的方方法。IIT服务务管理将将流程、人人和技术术三方面面整合在在一起来来解决IIT服务务管理问问题。并并结合法法院信息息系统内内部组织织结构、IIT资源源与管理理流程等等，对业业务需求求进行整整体管理理与服务务。解决决方案设设计要采采用ITT服务管管理的理理念，按按照ITTIL最最佳实践践标准来来设计。2、遵循循ISOO 2770011标准ISO2270001作为为信息系系统安全全管理标标准，已已经成为为全球公公认的安安全管理理最

14、佳实实践，成成为全国国大型机机构在设设计、管管理信息息系统安安全时的的实践指指南。其其中除了了安全思思路之外外，给出出了许多多非常细细致的安安全管理理指导规规范。在在ISOO270001中中有一个个非常有有名的安安全模型型，称为为PDCCA安全全模型。PPDCAA安全模模型的核核心思想想是：信信息系统统的安全全需求是是不断变变化的，要要使得信信息系统统的安全全能够满满足业务务需要，必必须建立立动态的的“计划、设设计和部部署、监监控评估估、改进进提高”管理方方法，持持续不断断地改进进信息系系统的安安全性。北信源认认为，终终端安全全管理，也也将是一一个持续续、动态态、不断断改进的的过程，北北信源将

15、将提供统统一的、集集成化的的平台和和工具，帮帮助对其其终端进进行统一一的安全全控制、安安全评估估、安全全审计及及安全改改进策略略部署。3、遵循循VRVV SppecSSEC安安全理念念依据业界界最佳安安全实践践和行业业信息安安全管理理体系的的建设流流程，结结合北信信源VRRV SSpeccSECC核心安安全理念念，本方方案的总总体架构构共分为为“网络接接入管理理、补丁丁及软件件分发管管理、移移动存储储介质管管理、桌桌面终端端管理、终终端安全全审计”等安全全管理组组件，并并通过统统一、联联动的安安全管控控与审计计平台实实现对不不同层次次架构的的集中策策略配置置与管理理，完成成对网络络终端的的分级

16、部部署、统统一管控控，最终终实现对对内网终终端全方方位的控控制管理理，形成成完整的的终端安安全管理理体系。方案设计计思路3.4. 终端安全全管理解解决方案案实现本方案通通过网络络接入控控制管理理、补丁丁及软件件分发管管理、移移动存储储介质管管理、桌桌面终端端安全管管理，以以及终端端安全审审计管理理等五大大部分，并并由集中中统一的的管控和和策略平平台，完完成对上上述安全全管理组组件的统统一策略略配置与与下发、集集中管理理与审计计，最终终形成联联动化的的、集成成化的、完完整的终终端安全全体系建建设。3.4.1. 网络接入入管理设设计实现现3.4.1.1. 网络接入入管理概概述通过网络络接入控控制能

17、够够完成对对未知终终端、授授权终端端的安全全准入管管理与控控制。该该系统能能够完成成基于8802.1x协协议的准准入控制制技术的的安全准准入管理理控制，为为内网终终端的安安全接入入控制提提供了一一道绿色色的保护护屏障。3.4.1.2. 网络接入入管理方方案及思思路系统能够够确保终终端电脑脑只有在在通过认认证，即即安装终终端安全全管理组组件，并并符合必必要的安安全策略略的前提提下才能能被允许许接入内内部网络络，否则则会强制制终端电电脑跳转转到访客客隔离区区(guuestt区)，完完成认证证后还需需要完成成安检，即即终端管管理软件件的下载载和安装装，且符符合既定定安全策策略要求求时才可可准许接接入

18、内部部网络。具具体接入入流程如如下：网络接入入控制管管理系统统流程图图以上过程程完全满满足网络络准入控控制的目目的和意意义：能能确保合合法的、健健康的终终端接入入内部网网络访问问被授权权的资源源。通过网络络准入控控制技术术，确保保接入网网络的电电脑终端端符合预预定义要要求，必必要的安安全策略略功能包包括：1、8002.11x接入入认证管管理802.1x接接入认证证管理具具有对接接入策略略和安检检策略整整体的配配置和管管理功能能。接入入是通过过用户名名密码的的认证方方式，对对终端接接入网络络进行限限制。对对认证成成功的终终端进行行安全健健康检测测。802.1X接接入认证证2、未注注册终端端接入访

19、访问区域域限制（vvlann限制）未注册终终端会因因认证不不成功进进入guuestt Vllan，在在gueest Vlaan中终终端只可可以与服服务器通通信只有有在终端端注册成成功后方方可以通通过认证证。3、未安安装杀毒毒软件等等必备软软件自动动安装下下载管理理针对终端端计算机机安装及及运行杀杀毒软件件情况，管管理员可可以设置置安全策策略检查查终端用用户是否否正常启启动、运运行防病病毒软件件，并且且强制检检查防病病毒软件件的版本本和病毒毒库版本本，确保保所有终终端版本本必须满满足安检检的规定定方可接接入内部部网络。如如有违规规，即刻刻跳转到到修复区区或者直直接断开开终端网网络连接接；针对终端

20、端计算机机安装的的必备软软件情况况，管理理员可以以设置可可控软件件名单，检检查必备备软件的的安装运运行情况况，如有有违规，即即刻跳转转到修复复区或者者直接断断开终端端网络连连接；在网络中中专门划划分出修修复区域域，防病病毒软件件服务器器放置在在网络修修复区中中。终端端计算机机根据安安全策略略要求安安装及升升级杀毒毒软件。杀毒软件件检测4、未打打补丁终终端接入入限制通过北信信源补丁丁索引检检测终端端用户是是否安装装系统补补丁，检检测注册册终端未未打或漏漏打补丁丁时，将将会提示示终端计计算机有有哪些需需要安装装的补丁丁并且会会自动弹弹出下载载的补丁丁的WEEB页面面，如若若不满足足补丁预预定义策策

21、略，即即刻跳转转到修复复区或者者直接断断开终端端网络连连接。在网络中中专门划划分出修修复区域域，系统统补丁文文件服务务器放置置在网络络隔离区区中。根根据北信信源补丁丁索引要要求升级级操作系系统软件件补丁。补丁检测测5、运行行不可信信进程、服服务、注注册表终终端接入入限制不可信进进程、服服务、注注册表是是针对可可信进程程、服务务、注册册表进行行判断的的，通过过自定义义设置可可信进程程、服务务、注册册表来判判断终端端是否允允许接入入到工作作区。对对于终端端计算机机没有运运行可信信进程、服服务、注注册表的的视为不不可信终终端，即即运行了了不可信信进程、服服务、注注册表，并并对终端端接入进进行限制制。

22、进程、服服务、注注册表检检测6、自定定义终端端安全接接入必须须的桌面面运行安安全环境境可以结合合需求自自定义终终端安全全策略，也也可以按按照现实实环境的的需要个个性化搭搭配各个个安全检检查策略略组合，已已达到最最佳的桌桌面安全全管理效效果。3.4.2. 补丁及软软件自动动分发管管理设计计实现3.4.2.1. 补丁及软软件自动动分发管管理概述述补丁及软软件自动动分发管管理能够够自动识识别终端端计算机机操作系系统类型型，并根根据需求求自动下下载所需需补丁，自自动安装装并提示示。系统统向指定定终端计计算机（用用户组）分分发文件件或安装装软件，分分发时可可提供软软件的运运行参数数和必要要的运行行控制。

23、该该管理体体系可减减轻网络络管理人人员的工工作负担担，软件件分发时时可报告告软件安安装的状状态，无无论软件件正确安安装与否否，管理理员均可可及时了了解情况况。3.4.2.2. 补丁及软软件自动动分发管管理方案案及思路路补丁及软软件自动动分发管管理支持持推、拉拉两种方方式自动动下载补补丁。整整个补丁丁管理运运行平台台构架是是：通过过北信源源外网补补丁下载载服务器器及时从从补丁厂厂商网站站获取最最新补丁丁；补丁丁安全测测试后，通通过补丁丁分发管管理中心心服务器器对网络络用户进进行分发发安装；补丁安安装支持持自动和和手动两两种方式式。补丁分发发管理体体系网络应用用对象：连通互互联网的的网络：直接通通

24、过补丁丁下载服服务器将将补丁下下载至补补丁分发发服务器器；物理理隔离网网络：在在互联网网连通网网络上安安装补丁丁下载服服务器模模块，通通过补丁丁下载增增量分离离工具，区区分内网网已导入入和未导导入的补补丁，将将最新补补丁导入入到内网网补丁分分发服务务器。补丁及软软件自动动分发管管理包括括：补丁丁下载、补补丁分析析、补丁丁策略制制订、补补丁文件件分发、终终端计算算机补丁丁漏洞检检测、补补丁安全全性测试试、补丁丁分发控控制、普普通文件件自动分分发等，包包括功能能如下：1 终端计计算机漏漏洞自动动侦测终端计算算机补丁丁自检测测，在内内网中建建立补丁丁检测网网站，终终端计算算机用户户访问网网站后，WW

25、eb网网页自动动检测显显示客户户段补丁丁安装信信息，用用户可进进行补丁丁下载安安装；管管理员还还可以在在管理控控制台上上远程检检测终端端计算机机补丁安安装状况况。补丁自动动检测2 补丁下下载增量式补补丁自动动分离技技术在外外网分离离出已安安装、未未安装补补丁，分分类导入入系统补补丁库，仅仅对内网网的补丁丁进行“增量式式”升级，以以减少拷拷贝工作作量；互互联网补补丁自动动实时探探测，支支持补丁丁导出前前病毒过过滤。3 补丁分分析自动建立立补丁库库，支持持补丁库库信息查查询。针针对下载载的补丁丁进行归归类存放放，按照照不同操操作系统统、补丁丁编号、补补丁发布布时间、补补丁风险险等级、补补丁公告告等

26、进行行归类，帮帮助管理理人员快快速识别别补丁。4 补丁策策略制订订（分发发）支持用户户自定义义补丁策策略并自自由配置置分发，基基于终端端计算机机网络IIP范围围、操作作系统种种类、补补丁类别别（系统统补丁、IIE补丁丁、应用用程序补补丁以及及网管自自定义补补丁类等等）等制制订策略略，发送送至终端端计算机机后统一一按策略略执行应应用。补丁分发发策略5 补丁自自动修复复在指定时时间、指指定网络络范围内内以不同同方式（如如推、拉拉）分发发补丁，或或者根据据脚本策策略统一一控制终终端计算算机下载载补丁，当当监测到到有终端端计算机机未打补补丁时，可可对漏打打补丁终终端计算算机进行行推送补补丁。补补丁分发

27、发支持流流量和连连接数控控制，以以免占用用太大带带宽，影影响网络络正常工工作。6 补丁下下载转发发代理提供补丁丁自动代代理转发发功能，提提高补丁丁下发效效率，减减少网络络带宽的的占用率率，节省省网络资资源。7 补丁安安全性测测试补丁分发发前闭环环自动测测试，对对下载的的补丁进进行自动动测试（建建立测试试网络组组），测测试完成成后将其其存入补补丁库，以以提高打打补丁的的成功性性、安全全性、可可靠性。8 普通文文件分发发及文件件自动执执行可以提供供分发普普通文件件也可以以分发可可执行文文件及MMSI等等形式的的压缩文文件并自自动执行行。文件分发发策略3.4.3. 移动存储储介质管管理设计计实现3.

28、4.3.1. 移动存储储介质管管理概述述该设计针针对内网网移动存存储介质质管理的的特点进进行，以以移动数数据生命命周期为为主导，紧紧扣其存存储和交交换的安安全需求求，针对对移动数数据全生生命周期期各个环环节潜在在的安全全隐患，综综合运用用各种安安全技术术和手段段，进行行有效全全程防护护的安全全产品。设计时考虑到了区域访问控制，信息保密、文件走查审计等方面，确保法院信息系统内网的信息不因使用移动存储而造成威胁，做到事前有保护，事后可追查，提供安全、简单易用的数据交换安全解决方案。该设计以以数据为为中心，用用户作为为数据的的使用者者，主机机作为数数据的存存储者，移移动存储储介质作作为数据据的迁移移

29、者，在在管理范范围内均均赋予唯唯一的标标识，三三者进行行相互认认证。只只有经认认证和授授权成功功后，才才保证合合法的用用户在合合法的机机器上访访问合法法存储介介质上的的数据，并并形成详详尽的日日志供审审计。移动数据据安全访访问模型型3.4.3.2. 移动存储储介质管管理方案案及思路路体系设计计对移动动存储介介质安全全管理范范围应该该包括UU盘、移移动硬盘盘、MPP3、手手机、智智能卡设设备等移移动存储储介质，以以及打印印机等外外设，体体系设计计与利用用移动存存储设备备或其他他方式进进行数据据交换的的相关终终端计算算机接口口管理，包包括光驱驱、软驱驱、USSB移动动存储接接口、UUSB全全部接口

30、口、打印印机接口口、红外外设及蓝蓝牙设备备等。因此，体体系技术术设计主主要包括括5类的的USBB设备控控制问题题，包括括存储类类（Maass Stooragge）、打打印机类类（Prrintter Claass）、智智能卡类类（Smmartt Caard Claass）、图图像类（Imaging Class）、HID设备类等，并通过相关的技术手段提供统一的管理平台及适用于各类存储介质的应用管理策略，确保提供完整有效的移动存储环境和移动存储设备的安全使用方案。移动存储设备接入管理具体功能如下：1. 移动存储储设备（分分设备、网网段等的的）接入入认证管管理，保保障指定定设备读读写指定定移动存存储设

31、备备的访问问控制管管理；2. 移动存储储数据读读写控制制管理；3. 移动存储储设备标标签认证证管理；4. 移动存储储设备分分区（普普通区和和加密区区）管理理；分区格式式化5. 移动存储储设备的的加密管管理，防防止加密密区的敏敏感信息息外泄；6. 移动存储储设备接接入行为为审计；7. 移动存储储设备数数据交换换行为审审计管理理，比如如设定文文件后缀缀名等条条件；8. 设计对文文件操作作详细审审计记录录：包括括文件的的创建、复复制、删删除、修修改和重重命名等等操作，（包括文件名、审计描述、时间、用户名、计算机IP地址和其他必要的信息）；9. 设计对移移动存储储介质的的插入和和拔出动动作的详详细记录

32、录，具体体包括事事件类型型、移动动存储介介质的名名称、用用户、计计算机IIP地址址、事件件时间；移动存储储审计设计对终终端计算算机大量量的文件件拷贝行行为可自自主设定定阈值，超超过阈值值的不进进行审计计。如拷拷贝超过过10000个文文件不进进行审计计（这主主要是因因为这样样的大量量拷贝行行为一般般不会是是违规的的行为）；移动存存储标签签制作记记录：对对于在网网络内使使用的移移动存储储设备（如如U盘等等）设置置一个标标签，不不同管理理员可以以获得不不同的标标签类型型分配。当当U盘接接入到网网络终端端时，能能够自动动识别标标签，如如果识别别通过，则则该U盘盘可以使使用，否否则不可可使用。该设计运运

33、用商用用密码技技术，实实现商用用密码算算法的加加密、解解密和认认证等功功能的技技术，通通过密码码算法编编程技术术、密码码算法芯芯片或加加密卡等等以实现现移动信信息保护护、访问问控制、审审计监控控等，以以满足移移动介质质标记认认证管理理的功能能需求。移动存储储管理策策略3.4.4. 桌面终端端管理设设计实现现3.4.4.1. 桌面终端端管理概概述网络终端端安全是是一个综综合的系系统问题题，涉及及管理计计算机本本身、计计算机应应用、计计算机操操作、计计算机使使用法院院信息系系统管理理规范等等多个方方面。因因此体系系设计需需采用CC/S与与B/SS混合设设计模式式，并支支持分布布式部署署，具有有模块

34、化化定制，支支持标准准APII、无缝缝功能扩扩展与升升级等优优点。设设计应遵遵循网络络防护与与断点防防护并重重理念，对对网络安安全管理理人员在在网络管管理、终终端管理理过程中中所面临临的种种种问题提提供解决决方案，实实现内部部网络终终端的可可控管理理。北信源桌桌面终端端管理体体系强化化了对网网络计算算机终端端状态、行行为以及及事件的的管理，并并针对基基本管理理、资产产管理、安安全管理理、运维维管理、桌桌面管理理、审计计管理等等提供的的模块化化的防护护功能，并并能够同同其它安安全设备备进行安安全集成成和报警警联动。终端安全全模型图图3.4.4.2. 桌面终端端管理方方案及思思路桌面终端端管理需需

35、从使用用人的基基本信息息开始记记录，同同时包括括IP地地址、MMAC地地址、软软硬件资资产、进进程信息息、软件件信息、密密码信息息、杀毒毒软件、计计算机资资源、流流量信息息等方面面进行统统计，形形成立体体式数据据库，当当发生信信息改变变或资源源报警时时，能够够第一时时间通知知管理人人员，便便于排查查错误，并并能够提提供给管管理人员员相应的的应急措措施与手手段，帮帮助管理理人员迅迅速解决决问题。桌桌面终端端管理具具体功能能还应包包括以下下功能。应用界面面1. 终端注册册管理该设计采采用C/S和BB/S模模式混合合管理方方式，在在被管理理的桌面面计算机机上安装装VRVVEDPP客户端端程序。在在安

36、装客客户端程程序需要要填写当当前计算算机使用用人的个个人相关关信息，如如使用人人、法院院信息系系统、部部门、联联系电话话、邮件件、所在在地、计计算机类类型等，进进行实名名化的管管理便于于快速定定位，无无论是违违规，还还是网络络安全事事件发生生时都可可以快速速定位到到事件源源。个人信息息填写2. IP和MMAC绑绑定管理理对固定IIP网络络的MAAC和IIP地址址进行绑绑定管理理，当探探测到IIP变化化后根据据策略设设置恢复复其原有有IP地地址，或或者阻断断其联网网，同时时禁止修修改网关关、禁用用冗余网网卡。IP、MMAC绑绑定策略略3. 禁止修改改网关、禁禁用冗余余网卡管管理支持禁止止修改网网

37、关、禁禁用冗余余网卡等等功能。4. 硬件资产产管理自动搜集集包括CCPU、内内存、硬硬盘分区区总和、设设备标识识的大小小和其他他详细信信息以及及其他如如主板、光光驱、软软驱、显显卡、键键盘、鼠鼠标、监监视器、红红外设备备、键盘盘等所有有的硬件件信息。硬件资产产管理5. 软件资产产管理自动发现现识别客客户端安安装的所所有软件件信息（名名称、版版本、安安装时间间、发现现时间等等），将将相关数数据入库库，检测测客户端端运行软软件信息息，供管管理员在在Webb控制台台查询。软件资产产管理6. 软、硬件件设备信信息变更更管理报警未注注册设备备、注册册程序卸卸载行为为，实时时检测硬硬件设备备变化情情况（如

38、如设备硬硬件变化化、网络络地址更更改、UUSB设设备接入入等）。7. 进程保护护管理对重要的的进程进进行守护护，防止止由于意意外或人人为原因因造成重重要进程程中断。进程保护护管理8. 桌面密码码权限管管理对终端的的密码管管理权限限变化及及使用状状况（包包括密码码长度、安安全性、弱弱口令等等方面）进进行审计计检查及及报警，同同时对不不符合要要求的终终端进行行提示或或强制修修改等处处置，达达到防止止病毒及及黑客入入侵的目目的。终端密码码管理终端权限限管理9. 终端统一一防火墙墙管理员在在Webb控制台台对终端端进行统统一的防防火墙设设置，对对网络IIP及协协议访问问进行限限制，在在网络内内建立虚虚

39、拟的终终端隔离离区。另外对于于大型网网络，网网络客户户端由于于用户使使用水平平的差别别，会出出现用户户卸载甚甚至退出出统一安安装的防防病毒软软件的情情况，也也会出现现有个别别用户被被遗漏，未未安装防防病毒软软件的情情况。管理员可可利用WWeb控控制台对对终端所所安装的的杀毒软软件情况况进行监监控和管管理，并并能够对对终端杀杀毒软件件实施远远程操作作（病毒毒查杀、升升级、软软件安装装等）。还还可统一一监控网网络内的的防病毒毒软件（国国内主流流厂商的的均可）安安装情况况和使用用状态，了了解网络络中的病病毒软件件安装状状况，必必要时可可通过此此设计强强制为客客户端安安装防病病毒程序序，如果果需要，也

40、也可监控控终端软软件的安安装情况况，并进进行相应应的管理理（如安安装杀毒毒软件软软件，强强行升级级病毒库库、自动动分发并并自动执执行病毒毒专杀工工具等）。终端防火火墙管理理10. 终端杀毒毒软件管管理可统一审审计网络络内终端端的防病病毒软件件（主流流厂商的的均可）安安装和使使用情况况，必要要时可强强制为客客户端安安装防病病毒程序序。如果果需要，也也可监控控终端防防病毒软软件的安安装情况况，并进进行相应应的管理理（如安安装杀毒毒软件软软件，强强行升级级病毒库库、自动动分发并并自动执执行病毒毒专杀工工具等）。终端杀毒毒软件管管理11. 终端在线线/离线线策略管管理提供针对对不同的的网络接接入情况况

41、，设定定终端的的在线、离离线策略略。当终终端处于于不同的的网络中中，可以以实现不不同的执执行策略略。12. 运行资源源监控在Webb控制台台对终端端的CPPU、内内存、硬硬盘的资资源占用用率和剩剩余空间间进行监监控，设设定危险险等级报报警阀门门。终端运行行资源管管理13. 流量管理理和控制制蠕虫病毒毒和BTT下载等等行为在在很多情情况下会会严重占占用网络络带宽，造造成网络络的拥塞塞甚至瘫瘫痪，对对此可利利用流量量进行管管理与监监控。主要功能能：l 流量采样样阈值设设定：用用户自主主设定采采样阈值值，当流流量（含含出、入入或总流流量）超超过一定定限度并并持续一一定时间间后，进进行有关关信息上上报

42、，防防止上报报数据过过多给网网络带来来负担。l 上报的当当前流量量进行汇汇总，对对当前的的流量进进行时实实排序，以以便网络络管理人人员进行行快速分分析是否否是网络络安全事事故。l 对网络客客户端的的历史流流量进行行统计和和排序，并并可生成成报表。l 对并发连连接数设设定阈值值并进行行采样。l 对网络扫扫描的可可疑行为为进行阈阈值设定定和报警警。l 对客户端端大量发发包的可可疑行为为进行阈阈值设定定和报警警。l 对具备可可疑行为为的客户户端进行行报警上上报、自自动阻断断、客户户端提示示等管理理。l 设定网络络客户端端流量上上限阈值值，对超超过的进进行报警警上报、自自动阻断断、客户户端提示示等管理

43、理。终端流量量采样管管理14. 流量异常常监控在Webb控制台台对终端端的网络络流入、流流出和总总流量进进行监控控和管理理。并能能够对产产生总流流量过大大、分时时段瞬时时流量过过大的进进程进行行统计，辅辅助分析析产生流流量过大大的原因因。终端流量量异常管管理15. 进程异常常监控在Webb控制台台对终端端未响应应窗口进进行监控控并结束束或重启启该进程程，对意意外退出出的进程程进行监监控和保保护。进程异常常管理16. 客户端文文件备份份针对终端端计算机机进行数数据实时时备份，将将本机计计算机目目录文件件数据实实时或定定时备份份到数据据服务器器或其它它计算机机上存储储。针对对局域网网服务器器数据存

44、存储等提提供安全全数据同同步备份份解决方方案。17. 非法外联联管理功功能1. 网络内部部终端非非法外联联互联网网行为监监控终端非法法外联互互联网行行为监控控：对于于已注册册的设备备，通过过不同方方式（如如双网卡卡、代理理等）连连接互联联网进行行的通讯讯，能够够自动阻阻断其连连接行为为并报警警。2. 网络内部部终端非非法接入入其它网网络行为为监控对于已注注册的设设备，监监控其网网络连接接行为，根根据接入入网络环环境因素素判定其其是否非非法接入入其它网网络。3. 离网终端端非法外外联互联联网行为为监控对于已经经注册的的计算机机，非法法带出到到另外一一个网络络的行为为进行监监控，发发现有外外联互联

45、联网行为为时可以以采取警警告、阻阻断、自自动关机机等操作作。4. 非法外联联行为告告警和网网络锁定定如果终端端非法入入网，可可以在报报警平台台和报警警查询处处获知信信息，并并且可以以对终端端提示信信息，自自动关机机，阻断断联网等等处理。5. 非法外联联行为取取证对于非法法外联行行为进行行实时告告警功能能，同时时记录该该行为发发生的事事件、IIP地址址、MAAC地址址、使用用人等相相关信息息上报到到服务器器进行记记录取证证。终端非法法外联管管理3.4.5. 终端安全全审计设设计实现现3.4.5.1. 终端安全全审计概概述随着信息息安全技技术和理理念的发发展，安安全监控控的关注注点已经经从设备备转

46、向对对于设备备使用者者的行为为，用户户对于设设备使用用人行为为审计和和行为控控制的需需求越来来越明显显，由此此国内外外均已有有相关的的政策和和法规陆陆续出台台，国内内的涉涉及国家家秘密的的信息系系统分级级保护技技术要求求、信信息系统统安全等等级保护护基本要要求、信信息系统统安全等等级保护护测评准准则和和国外的的萨班班斯奥奥克斯利利法案也也均明确确的提出出了对主主机行为为的监控控和审计计要求。北信源主主机监控控审计通通过技术术手段使使各种管管理条例例落实，增增强用户户的安全全和保密密意识，保保护内部部的信息息不外泄泄。3.4.5.2. 终端安全全审计方方案及思思路本方案中中，终端端安全审审计通过

47、过Webb方式对对整个网网络终端端计算机机进行应应用策略略配置，管管理网络络和查询询审计数数据，方方便用户户操作，有有效防范范不安全全因素对对内部终终端构成成的威胁胁，真正正做到内内部终端端的安全全管理，防防止信息息泄密，满满足客户户对内部部终端管管理的功功能需求求：1. 网络访问问行为审审计和控控制以黑白名名单的方方式对用用户的网网络访问问行为进进行控制制，并对对用户访访问的网网络等进进行审计计和记录录。网络访问问审计2. 文件保护护及审计计提供对终终端的OOS系统统目录、软软件目录录和共享享目录中中的文件件的保护护功能，设设定访问问、删除除、修改改权限；支持对对设定目目录文件件的操作作审计，包